CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN. Khái niệm hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức (theo Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội.).

1. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN
1.1. MỘT SỐ KHÁI NIỆM CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU
1.1.1. Khái niệm thông tin, HTTT, dữ liệu và CSDL
Thông tin là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được
qua khảo sát, đo lường, trao đổi, nghiên cứu…(theo Đàm Gia Mạnh (2009), Giáo trình
an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội.)
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng. Thông tin được coi như một sản phẩm hoàn chỉnh thu được sau quá trình
xử lý dữ liệu.
Khái niệm hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần
mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức
(theo Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB
Thống Kê, Hà Nội.).
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với bên
ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin hơn hoặc cải tiến dịch vụ,
nâng cao sức cạnh tranh, tạo đà cho phát triển (theo Đàm Gia Mạnh (2009), Giáo trình
an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội)
Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan.
Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng. Dữ liệu có thể là một
tập hợp các giá trị mà không biết được sự liên hệ giữa chúng. Dữ liệu qua quá trình xử
lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đích khác nhau của
con người (theo Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật
và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.)
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình
ảnh.
Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên
các phương tiện lưu trữ như đĩa từ, băng từ v..v nhằm thỏa mãn các yêu cầu khai thác
thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng (theo
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông
tin trong thương mại điện tử”, Đại học Bách Khoa.)
1.1.2. Khái niệm an toàn và bảo mật CSDL
Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm.
Một hệ thống thông tin được coi là an toàn ( security) khi thông tin không bị làm
hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
5

2. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt
động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây
thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Bảo mật trở nên
đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng các công
cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên (các thông
tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) và lạm dụng
tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc
người sở hữu hệ thống).
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin.
+ Bí mật nghĩa (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi
những người được cấp quyền tương ứng.
+ Tính trọn vẹn (Integrity) là bảo vệ sự chính xác hoàn chỉnh của thông tin và
thông tin chỉ được thay đổi bởi những người được cấp quyền.
+ Tính sẵn sàng (Availabillity) của thông tin là những người được quyền sử
dụng có thể truy xuất thông tin khi họ cần.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được
đảm bảo theo đúng các tiêu chí trong một thời gian xác định.
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất
an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất an toàn
Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được những
truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thông tin
CSDL.
Vai trò của an toàn bảo mật thông tin trong doanh nghiệp:
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt
hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan
trọng trong sự nghiệp phát triển của doanh nghiệp
1.2. MỘT SỐ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU CHO
HTTT 1.2.1. Hình thức tấn công HTTT
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công
chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép.
Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
6

3. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline):
+ Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp
đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản
đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào.
Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ
mật khẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.
+ Tấn công trực tuyến không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông
người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả
tin của người dùng để đánh cắp tài khoản.Hình thức phổ biến nhất của tấn công trực
tuyến là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông
tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của
người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các
gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động
tuy nguy hiểm nhưng lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không
thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém trong mô
hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm
server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợi
dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích nhằm
lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng.
1.2.2. Các nguy cơ mất an toàn thông tin trong HTTT

Nguy cơ mất an toàn thông tin về khía cạnh vật lý
Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt
độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, các phần
tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài.
7

4. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149

Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin:

Người dùng có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trình
tạo cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin.
Kẻ xấu có thể sử dụng công cụ hoặc kỹ thuật của mình để thay đổi nội dung
thông tin (các file) nhằm sai lệnh thông tin của chủ sở hữu hợp pháp.

Nguy cơ bị tấn công bởi các phần mềm độc hại

Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâm nhập
vào hệ thống với các mục đích khác nhau như: virus, sâu máy tính (Worm), phần mềm
gián điệp (Spyware),...
+ Virus: là một chương trình máy tính có thể tự sao chép chính nó lên những
đĩa, file khác mà người sữ dụng không hay biết. Thông thừờng virus máy tính mang tính
chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các tính chất:
Kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa này sang
đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thông thường chúng sẽ
tiêu diệt và phá hủy các chương trình và dữ liệu (tuy nhiên cũng có một số virus không
gây hại như chương trình được tạo ra chỉ với mục đích trêu đùa).
+ Worm: Loại virus lây từ máy tính này sang máy tính khác qua mạng, khác với
loại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lây sang
máy khác khi ai đó đem chương trình nhiễm virus sang máy này.
+ Trojan, Spyware, Adware: Là những phần mềm được gọi là phần mềm gián
điệp, chúng không lây lan như virus. Thường bằng cách nào đó (lừa đảo người sử dụng
thông qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài đặt và nằm
vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được ra bên ngoài hoặc
hiện lên các quảng cáo ngoài ý muốn của nạn nhân.

Nguy cơ xâm nhập từ lỗ hổng bảo mật
Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm trong
một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặt trên
máy tính.
Hiện, nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các hệ điều
hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất luôn cập nhật các
lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản
trước.

Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục
người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm mất đi mục đích bảo
vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra và để nó công
khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của mình.
8

5. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy
nhập. Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng
quản trị chính.
Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể. Phần
mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các
số. Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu trên
mạng Internet như: Xavior, Authforce và Hypnopaedia. Các chương trình dạng này làm
việc tương đối nhanh và luôn có trong tay những kẻ tấn công.

Nguy cơ mất an toàn thông tin do sử dụng e-mail

Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống như
email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị bị
nhiễm virus. Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức cụ
thể. Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là một đồng nghiệp
hoặc một đối tác nào đó. Người dùng bị tấn công bằng thư điên tử có thể bị đánh cắp
mật khẩu hoặc bị lây nhiễm virus.
Rất nhiều người sử dụng e-mail nhận ra rằng họ có thể là nạn nhân của một tấn
công e-mail. Một tấn công e-mail có vẻ như xuất phát từ một nguồn thân thiện, hoặc
thậm chí là tin cậy như: một công ty quen, một người thân trong gia đình hay một đồng
nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng một khoản mục email
mới để gửi e-mail phá hoại đến người nhận. Đôi khi một e-mail được gửi đi với một tiêu
đề hấp dẫn như “Congratulation you’ve just won free software. Những e-mail phá hoại
có thể mang một tệp đính kèm chứa một virus, một sâu mạng, phần mềm gián điệp hay
một trojan horse. Một tệp đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa
một macro (một chương trình hoặc một tập các chỉ thị) chứa mã độc.
Ngoài ra, e-mail cũng có thể chứa một liên kết tới một web site giả.

Nguy cơ mất an toàn thông tin trong quá trình truyền tin

Trong quá trình lưu thông và giao dịch thông tin trên mạng internet nguy cơ mất
an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và
thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận.

Nguy cơ bị tắc nghẽn, ngưng trệ thông tin

Tắc nghẽn và ngưng trệ thông tin có thể di bị tấn công, hoặc có thể do bị mất
điện, hoặc rất ngẫu nhiên là số lượng người truy cập vào hệ thống trong cùng một lúc là
rất lớn mà dung lượng đường truyền lại quá nhỏ gây ra tắc nghẽn.
Các công nghệ giúp đảm bảo an toàn bảo mật dữ liệu phổ biến hiện nay.

Công nghệ tường lửa (FireWall)

FireWall là một công cụ phần cứng hoặc phần mềm hoặc là cả 2 được tích hợp vào hệ
thống để chống lại sự truy cập trái phép, ngăn chặn virus… để đảm bảo nguồn thông tin nội
9

6. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
bộ được an toàn, tránh bị kẻ gian đánh cắp thông tin. Firewall hỗ trợ máy tính kiểm soát luồng
thông tin giữa intranet và internet, Firewall sẽ quyết định dịch vụ nào từ bên trong được phép
truy cập ra bên ngoài, những người nào bên ngoài được phép truy cập vào bên trong hệ thống,
hay là giới hạn truy cập những dịch vụ bên ngoài của những người bên trong hệ thống.

Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS +
Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS).


Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở
mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy
nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.
+ Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).
Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và
mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng
mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.

Công nghệ mạng LAN ảo (VLAN)

VLAN là kỹ thuật cho phép tạo ra các mạng LAN độc lập trên cùng một kiến trúc hạ
tầng. Việc tạo ra nhiều mạng LAN ảo trong cùng một mạng cục bộ giúp giảm thiểu vùng quảng
bá, cũng như tạo điều kiện thuận lợi cho việc quản lý những mạng cục bộ rộng lớn. VLAN giúp
tăng khả năng bảo mật bởi các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau.
Các máy tính trong VLAN chỉ có thể liên lạc được với nhau trong cùng 1 VLAN cụ thể chẳng
hạn VLAN kế toán. Máy ở mạng VLAN kế toán không thể kết nối được với các máy ở VLAN
kỹ sư. Điều này sẽ giúp bảo mật dữ liệu tốt hơn.

Nghiên cứu mạng riêng ảo(VPN)

Mạng VPN an toàn bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự
chứng thực và toàn vẹn dữ liệu thông qua các giải thuật mã hoá.
Xác thực, xác nhận và quản lý tài khoản: AAA được sử dụng để tăng tính bảo
mật trong truy nhập từ xa của VPN.
Mã hoá dữ liệu: là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo
một quy tắc nhất định và máy tính đầu xa có thể giải mã được.

Công nghệ phòng các phần mềm độc hại

Các phần mềm độc hại, virus khi tấn công vào hệ thống mạng của doanh nghiệp
sẽ đánh cắp toàn bộ dữ liệu một cách nhanh chóng. Khả năng lấy lại dữ liệu là rất thấp
và giá trị bảo mật cũng không còn cao nữa. Một số giải pháp hiện nay mà doanh nghiệp
thường lựa chọn: giải pháp phòng chống mã độc, virus riêng lẻ cho người dùng, giải
pháp phòng chống mã độc tập trung hay giải pháp phòng chống mã độc ở gateway...
Luôn luôn cập nhật cách diệt virus, mã độc mới nhất. Vì chúng luôn biến tướng và phát
sinh mỗi ngày, nếu ta không kịp cập nhật có thể các chương trình bảo vệ của chúng ta
bị lỗi thời so với những loại virus, mã độc mới
10

7. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU
1.3.1. Tổng quan tình hình nghiên cứu ở Việt Nam
Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin trong
trong nước cũng có những chuyển biến tích cực, nhiều công trình nghiên cứu, sách và
tài liệu khoa học về an toàn và bảo mật thông tin ra đời như:
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB Thống Kê, Hà Nội.
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong
TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như những
nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trong TMĐT. Từ đó,
giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu trong
hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số phương pháp
phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phục hậu
quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi
hơn trong những công việc hàng ngày của mình.
Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn và bảo mật hệ thống
thông tin, Đại học Nha Trang.
Bài giảng đưa ra một số vấn đề an toàn bảo mật thông tin và việc khắc phục, bảo
vệ thông tin trong quá trình truyền thông tin trên mạng và bảo vệ hệ thống máy tính, và
mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài giúp cho các nhà kinh doanh
cũng như doanh nghiệp áp dụng cho hệ thống của mình.
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn
thông tin trong thương mại điện tử”, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn
thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn
thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nói chung
và đi sâu vào một doanh nghiệp cụ thể.
ThS. Nguyễn Tiến Đức (2002), “Tình hình an ninh thông tin ở Việt Nam và sự
tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công nghệ
thông tin Việt Nam.
Ở đây, tác giả đã nêu ra một cách tổng quát về tình hình an ninh thông tin tại Việt
Nam cũng như sự tiếp cận tiêu chuẩn này đối với các tổ chức, doanh nghiệp nói chung,
đặc biệt là đối với các doanh nghiệp hoạt động trong lĩnh vực Công nghệ thông tin (
CNTT) trong thời điểm thế giới đánh giá mức độ an toàn thông tin của các doanh nghiệp
Việt Nam còn rất yếu. Tuy nhiên, đề tài chưa nghiên cứu đến khả năng ứng dụng thực
tế quy trình xây dựng hệ thống an ninh bảo mật vào một doanh nghiệp cụ
11

8. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
thể nào. Cùng là một quy trình triển khai ISO 27001 ứng với mỗi doanh nghiệp sẽ có
mức độ và phạm vi áp dụng khác nhau.
1.3.2. Tổng quan tình hình nghiên cứu trên thế giới
Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm và
nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông tin nói
chung. Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh vi,
tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các doanh nghiệp
lớn nhỏ, các tổ chức, chính phủ…
William Stallings (2005), Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall.
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề
cơ bản của công nghệ mật mã và an ninh mạng. Kiểm tra các thực hành an ninh mạng thông
qua các ứng dụng thực tế đã được triển khai thực hiện và sử dụng ngày nay. Các chương
trình mã hóa được sử dụng rộng rãi nhất dựa trên các dữ liệu Encryption Standard (DES)
được thông qua vào năm 1977 của Cục Tiêu chuẩn Quốc gia, nay là Viện Tiêu chuẩn và
Công nghệ (NIST), như tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46).
Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information
Security – Estimating the Credibility of the Results.
Bài báo này trình bày các kết quả từ một dự án nghiên cứu đang thực hiện tập trung
vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp (Enterprise
Information Security), dự án là một phần của một chương trình nghiên cứu toàn diện, Cấu
trúc Doanh nghiệp, The Enterprise Architecture Research Programme (EARP). EARP khai
thác các phần của cấu trúc doanh nghiệp như một cách tiếp cận để quản lý tổng danh mục
hệ thống thông tin của công ty. Các bên liên quan chính của Cấu trúc Doanh nghiệp là CIO
(Chief Information Officer) chịu trách nhiệm quản lý và phát triển hệ thống thông tin doanh
nghiệp. Mục tiêu tổng thể của chương trình nghiên cứu là cung cấp chức năng CIO với các
công cụ và phương pháp dựa trên cấu trúc để lập kế hoạch và ra quyết định liên quan đến
các hệ thống thông tin toàn doanh nghiệp
Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms
and protocols, John Wiley & Sons.
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,
nguyên tắc, các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc phục
các mốiđe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực, tính

9. Viết thuê đề tài giá rẻ trọn gói - KB Zalo/Tele : 0973.287.149
Luanvanmaster.com – Cần Kham Thảo - Kết bạn Zalo/Tele : 0973.287.149
toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet.
Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy
cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ
tấn công thông qua đường truyền Internet.